问题:
在用接入jwt后,遇到用户登出需要取消token的有效性,网上有些处理的前端清除上次登陆的token,这样当然有隐患,token还是能正常使用。
处理:
https://segmentfault.com/q/1010000010043871
查阅一些资料后主要是有几种方式
- 将 token 存入 DB(如 Redis)中,失效则删除;但增加了一个每次校验时候都要先从 DB 中查询 token 是否存在的步骤,而且违背了 JWT 的无状态原则(这不就和 session 一样了么?)。
- 维护一个 token 黑名单,失效则加入黑名单中。
- 在 JWT 中增加一个版本号字段,失效则改变该版本号。
- 在服务端设置加密的 key 时,为每个用户生成唯一的 key,失效则改变该 key。
目前的做法是用redis维护一个白名单 再设置一个失效的时间, 如果有新的token就用最新的 保持一个用户一个token